コンテンツにスキップ
ページの一部またはすべては機械翻訳されました。
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=MFA-settings

多要素認証 (MFA) の設定

ハードウェアまたはソフトウェアトークンを使用して、多要素認証を実装できます。

ワンタイムパスワード (OTP)

デフォルト設定は「OTP なし」 で、ユーザーの MFA は不要です。MFA を実装する場合は、次のいずれかのオプションを選択します。

  • すべてのユーザー
  • 特定のユーザーとグループ。「ユーザーとグループの追加」をクリックし、ユーザーとグループを選択して、「選択した項目を適用」をクリックします。

デフォルトの管理者の MFA をオンにするには、「管理 > デバイスのアクセス」に移動します。スクロールダウンして、「デフォルト管理者に対する MFA」をオンにして、「適用」をクリックしてください。

次のサインインで OTP トークンを生成する

次のいずれかの操作を実行できます。

  • オン: ユーザーは、パスコード生成用の認証アプリケーションが必要です。

    VPN ポータルまたはユーザーポータルにサインインして、認証アプリで QR コードをスキャンする必要があります。QR コードは、指定したユーザーとグループにのみ表示されます。詳細は、OTP トークンを参照してください。

    Active Directory (AD) などの外部認証サーバーを使用している場合、これらのユーザーを MFA のグループから除外するには、ユーザーが MFA を使用して一度サインインする必要があります。それ以降のサインインでは、OTP は不要です。

  • オフ: ユーザーは、組織が導入したハードウェアトークンを使用する必要があります。

    発行されたトークン」で、各ユーザーのトークンを手動で設定してください。

MFA が必要なサービス

次のサインインで OTP トークンを生成する」をオンにすると、ユーザーポータルが自動的に選択され、ユーザーは QR コードをスキャンできるようになります。

次の場合に MFA が必要」で、次のサービスから選択します。

  • ユーザーポータル: ユーザーと管理者は、ユーザーポータルで QR コードをスキャンできます。

    ユーザーポータルの MFA をオンにすると、キャプティブポータルおよびクライアント認証エージェントにも MFA が適用されます。

  • Web 管理コンソール管理者は、Web 管理コンソールでも QR コードをスキャンできます。

  • VPN ポータルユーザーと管理者は、VPN ポータルで QR コードをスキャンできます。
  • SSL VPN リモートアクセス
  • IPsec リモートアクセス

  • Web アプリケーションファイアウォールWAF で保護された Web サーバーに MFA を適用するには、次の手順を実行します。

    • ワンタイムパスワード (OTP)」で、「すべてのユーザー」または「特定のユーザーとグループ」を選択します。
    • 次の場合に MFA が必要」で、「Web アプリケーションファイアウォール」を選択します。

    • MFA を含める認証ポリシーで、以下の手順を実行します。

      Web サーバー > 認証ポリシー」に移動し、対象のポリシーのクライアントのモードを「フォーム」に設定し、ユーザーとグループ用の認証テンプレートを選択します。

    • MFA を含める WAF ルールで、Web サーバーと認証ポリシーを選択します。

ヒント

リモートアクセス VPN 接続を確立するには、まず VPN ポータルで QR コードをスキャンする必要があります。

現在、リモートアクセス VPN 用の Sophos Connect クライアントは、OTP チャレンジをサポートしておらず、パスワードと OTP の詳細を passwordotp 形式で認証サーバーに送信します。そのため、認証サーバーは、ユーザーに OTP チャレンジを送信したときに OTP のみを受信することはなく、認証は行われません。

Sophos Connect クライアントは、コールおよびプッシュベースの MFA をサポートしています。ユーザーポータルおよび Web 管理コンソールは、この MFA とチャレンジベースの MFA をサポートしています。

OTP ハッシュアルゴリズム

認証アプリは、セキュアな認証を確保するためにハッシュアルゴリズムに基づいてOTPを生成します。ファイアウォールはOTP生成のために複数のハッシュアルゴリズムをサポートしています。

セキュリティ強化のため、SHA256またはSHA512の使用をお勧めします。これらのアルゴリズムは、SHA1と比較してより強力な暗号化セキュリティを提供します。

認証アプリがサポートするハッシュアルゴリズムを使用する必要があります。SHA256 または SHA512 をサポートしていない認証アプリ (Microsoft Authenticatorなど) でも QR コードをスキャンすることはできますが、サインインで失敗します。

SHA256 および SHA512 に対応した認証アプリ (Sophos Intercept X や Google Authenticator など) の利用を推奨します。

以下のオプションからハッシュアルゴリズムを選択してください:

  • SHA1
  • SHA256
  • SHA512

既存のトークンを削除してください。発行されたトークンのリストが表示されています。ユーザーは、認証アプリが新しいハッシュアルゴリズムを実装できるように、その後QRコードを再スキャンする必要があります。

トークンを削除しない場合、アプリケーションは以前のアルゴリズムに基づいてOTPを生成し続けます。詳細は、SHA256 または SHA512 に移行するを参照してください。

OTP のタイムステップの設定

(オプション) 「OTP のタイムステップの設定」をクリックし、次の設定を行います。

設定 説明
デフォルトのトークンタイムステップ

認証アプリまたはハードウェアトークンが新しいパスコードを生成する間隔。

アプリまたはハードウェアトークンが使用する間隔を入力する必要があります。

デフォルト: 30秒
検証コードの最大オフセット

パスコードが有効なタイムスステップ数。

たとえば、オフセット値が 2 でタイムステップが 30 秒の場合、ユーザーは直前の 60秒間の未使用のパスコードを入力できます。

デフォルト: 2
初期検証コードの最大オフセット

ユーザーが QR コードをスキャンした後、最初のパスコードが有効なタイムステップ数。

たとえば、初期オフセット値が 10 でタイムステップが 30秒の場合、生成された最初のパスコードは、300秒間有効です (まだ使用されていない場合)。

デフォルト: 10